HVV工作总结
一、准备工作
在护网开始前的两周,收集整理现有各种OA产品漏洞、web应用漏洞、CMS漏洞的POC,以及常见的webshell攻击手段例如冰蝎、蚁剑、哥斯拉、shiro的攻击特征。验证并编写包含请求头,请求体,响应头,响应体以及返回状态码的报文规则两百余条,以便护网期间能让大家更好的在平台上检测到各种攻击的手法。当然我之前是从来没有接触过这些漏洞的,所以在工作中也遇到了很多困难,犯了很多错误。
二、护网情况
我和带我的师傅两人在护网期间属于溯源分析组,主要任务是负责溯源红队的个人信息,撰写溯源报告,但也需要担任一些其他的工作。
1.报文规则的更新
在护网开始后,每天可能都会爆出各种0day,1day等等漏洞,我需要通过各种论坛,网站,博客,github上收集这些公开漏洞的POC,以及从hq那里得到的一些未公开漏洞的POC,然后整理更新报文规则,及时上传到我们的平台上。当有这种day攻击我们的企业时,我们便可以及时发现。在此期间,我也需要做漏洞验证的工作,有很多企业在平台上显示被注入了哥斯拉,冰蝎,蚁剑等,但是未必真正的注入成功,因此我需要拿这些webshell管理工具去连接这些URL,一旦连接成功,则表示企业被攻击成功,这样的话我便会告诉惠祁,他会与企业沟通然后做出一些具体措施。
2.样本分析
因为之前在学校做过一些逆向的题目,也参加过一些比赛,所以本次护网也参与一些样本分析的工作。我就拿一个普通的钓鱼样本举例,此样本主要用到的工具为PEID、StudyPE、IDA、x64dbg、火绒剑。首先我们要在沙箱中进行检测,看是否存在进程行为、网络行为等恶意行为,初步可以得到病毒启动是具有隐藏界面的,它隐藏在其他目录之中,并能修改网络代理且连接有多个域名等一系列操作。我们一定要在虚拟机中分析样本,这都是真毒,别把自己主机搞没了。运行样本之后,在火绒剑中捕捉样本行为动作,有设置注册表项,创建进程,文件增删改查,网络发包等操作。一般的样本都是用UPX或者VMP加过壳的,我们必须手动脱壳才能更好的进行下一步的分析。结合IDA和x64dbg的分析,可以更清楚的看到此样本会根据时间随机生成数作为文件名进行拼接,然后拷贝到我们的C盘目录下。在创建的线程中,通过分析可以判断为弱口令攻击,在IPC中内置了很多弱口令,根据此获取主机名以及网络连接的函数,通过弱口令感染局域网内其他主机。还有很多分析样本的具体细节就不在这里做过多解释,有时间的话我会分别把每个样本的分析过程都写出来的。总结一下就是分析得到样本中的具体逻辑行为以及敏感信息或者外联IP。虽然第一次分析钓鱼样本没有得到预期的效果,仅仅得到了一些CDN的IP,但是通过这此护网,也使我积累了很多分析的经验,希望下次能取得更好的成绩让自己满意。
3.溯源
这也是我第一次参加护网,所以可以说是零经验。在经过几天的摸索后,我们也渐渐的找到了一些正确的思路。首先根据我们前期在平台上录入的大量报文规则,可以每天大批量的导出IP,在筛除内网IP后,把剩余的IP放到微步中批量查询,再筛选出腾讯云,阿里云,百度云等有迹可循的恶意的红队IP。这里我们拿腾讯云IP举例,腾讯云的IP可以在腾讯云官网,通过抓包的方式得到注册此IP的人的QQ号前几位和后几位与手机号前几位与后几位的信息,然后通过各种whios查询,IP反查域名等网站查询注册域名的信息。这里有可能会查询到注册人的QQ邮箱,或者包含手机号的邮箱,看这些QQ号或者手机号是否与我们在腾讯云抓到的QQ号或手机号匹配,如果匹配那么即形成了闭环。在得到这些信息后,我们需要借助各种手法以及社工的方式找到其他信息,包括github地址,姓名,公司或者学校。这样便可以出一份溯源报告。
当然我们也可以通过扫描端口的方式,查看此红队IP是否开了一些不常见的端口。在这次护网中,就有一个IP开了8000端口,我们从此端口溯源到了这个人的具体信息。
溯源手法千变万化,没有统一的手法,在刚开始的几天试过很多错误的方法,但后来在摸清套路后,也渐渐走上正轨。在本次护网期间,我们一共出了6份溯源报告,也及时把这些红队信息以及攻击手段反馈给企业。
三、总结
护网的机会是十分难得的,好在我没有浪费护网期间的每一天。在护网期间,每天都会面临新的挑战,学习新的东西。虽然十分辛苦,但还是特别充实的。期待在以后的工作中,不断进步,不断汲取新的知识,为下次护网打好基本功。